IPSec DMVPN 動態多點 路由器 VPN 協定

建置軸輻式動態多點VPN 各分站間透過主站互連

2014-08-07
這裡以實作的方式講解並示範如何建立DMVPN(動態多點VPN),而為了避免明碼傳送時讓駭客有輕易假造封包的機會,還會進一步使用IPSec對資料的傳遞加以保護。
本文將介紹如何在多台路由器之間建立VPN連線,會使用之前文章介紹過的GRE家族中的NHRP協定來建立hub-and-spoke的動態VPN網路,同時結合IPSec將所傳輸的資料進行加密。

在此網路架構中,所有分點均能主動單獨與主點連立連線,但兩個分點間若要連線均須透過主點方能進行。如此一來,就能達成資料控管的目的,避免資料在未經授權的狀況下外流,或是因為分點的資安問題影響其他分點的正常運作。

表1 行前準備

測試架構說明

本次實作的測試架構圖如圖1所示,簡言之,目的是讓KH Office及TC Office可存取Main Office的網路資源,並且讓TC Office和KH Office彼此間也能共享網路資源。


▲圖1 DMVPN網路架構圖。

這樣的架構稱為hub-and-spoke,所有的網路連線都須透過主點才能正常運作。經由Internet透過GRE Tunnel建立VPN連線,並且以IPSec進行加密,讓資料在存取過程中能夠進行加密,進而保護資料不被輕易破解。

圖2是hub and spoke架構的示意圖。Main Office指的是hub,TC&KH Office指的是spoke。可以想像hub and spoke的架構像一個輪軸。hub是軸心,spoke是每一根軸的終點。spoke的每一個點都必須透過hub才能抵達另一個spoke點。


▲圖2 hub and spoke架構圖。

NHRP協定介紹

在此實作中,使用NHRP(Next Hop Resolution Protocol)來達成此次的需求。NHRP的主要功能有二:Address Mapping(地址映射)與Address Resolution(地址解析)。此協定可協助hub點取得各spoke點的實體IP位址與Tunnel Destination的IP位址,以便進行後續連線。

Main Office相關設定

在此架構中,主點及其他分點均使用固定IP,在實務上,若分點使用浮動IP亦是可行的。

以下為Main Office的設定。Interface FastEthernet0/0的IP是對外所使用的Public IP,並且設定預設路由往61.59.104.1送。


FastEthernet1/0的IP為LAN IP,是Main Office使用的Private IP網段。也是Main Office電腦及伺服器使用的預設閘道。


接著先做基礎設定,建立一個tunnel interface,並設定其IP為10.0.0.1。


接著在interface Tunnel0下,進行nhrp的相關設定。map指的是將IP轉換為NBMA位址。NBMA指的是A non-broadcast Multiple Access Network,在設定OSPF時常會使用到此觀念。

設定此map使用multicast,它的意思是在廣播或群播中使用此NBMA的mapping。最後的dynamic指的是在spoke點向hub點註冊時,動態地學習其位址。



追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!